Загрузка картинок товаров поставщика может ли ставить под угрозу безопасность сайта?

Question

[Слава]

Каждый поставщик товаров имеет возможность на нашем сайте через свой кабинет загрузить свой каталог товаров. При загрузке товаров мы выкачиваем картинки по предоставленному поставщиком url и кладем в нужную папку.

Вопрос - если в катинку прошит какой-нибудь вредоносный код, может ли пострадать наш сайт и как от этого защититься?

Или же хранить картинки за пределами папок сервера, а на отдельном облачном сервисе?

Пока интересует два вопроса:

- могут ли пользователи, зашедшие на сайт подцепить вредоносный код загружая картинки;
- может ли наш сайт сам заразиться после загрузки картинки ?

Comments

[N]

Достаточно ли безопасен этот скрипт загрузки изображений на сервер?

[N]

Сегодня буквально "тёрли"... :)

Answer 1

[Михаил Мирошниченко]

В файле любого формата содержится служебная информация. Вместо нее вполне может оказаться и код вируса. Но для его запуска файл должен быть открыт уязвимым приложением (каким - зависит от вируса и формата файла).

Если вы уверены, что не будете открывать файлы такими приложениями, можете докачивать. Однако на вашем месте я бы перестраховался. Файлу лучше проверять антивирусом или пересохранять в другой формат "на лету".

Comments

[N]

Если это именно картинки...то достаточно сохранить файл с контролируемым именем и расширением, и НЕ допустить выполнение сервером через браузер, т.е. отдать как обычный статический файл...

Дальше...мы не можем контролировать действия пользователя...

[xmoonlight]

N,

т.е. отдать как обычный статический файл...

речь и про xss - тоже тут))

[N]

xmoonlight, O_o

Я описал "сценарий" при котором максимум, что может сделать "пользователь" - это загрузить "битый" файл, если там будет "что-то", кроме картинки...

Ну, если конечно, он после загрузки не начнёт его сам во что-то переименовывать и запускать или подобная канитель...

[xmoonlight]

N, я про исполнение стороннего js-кода в браузере говорю)

[N]

xmoonlight, Как ты его через "картинку" в браузере "исполнишь" ? :)
Которая сохранена и отдаётся по схеме, которую я описал выше...

[xmoonlight]

N, я - вряд ли, а вот умельцы - наверняка найдутся... достаточно вспомнить про pdf.

[N]

xmoonlight, Тут вопрос вообще тогда в другом...главное защитить сам ресурс и отдачу с него файлов без "воздействия" на этот ресурс...

Так-то дофига тогда ситуаций, когда ты те же программы для windows скачиваешь...тебе везде пишут "проверено антивирусом" и тому подобное...но на 100% антивирусов не бывает...
Дальше уже задача пользователя о себе самому заботиться...
Тут же задача, безопасно сохранить файл и так же безопасно передать его пользователю...а дальше... каким образом пользователь будет использовать этот файл - совсем другая история...

[xmoonlight]

N,

Дальше уже задача пользователя о себе самому заботиться...

XSS (межсайтовый скриптинг) – одна из разновидностей атак на веб-системы, которая подразумевает внедрение вредоносного кода на определенную страницу сайта и взаимодействие этого кода с удаленным сервером злоумышленников при открытии страницы пользователем.
Это как раз и есть проблема ресурса.

[N]

xmoonlight, Сами поняли, что написали в контексте задачи данного вопроса?
XSS - с пятого класса знаю...дальше...?

P.S.: Выделю слова из предыдущего своего комментария, чтобы Вы поняли этот комментарий...

[N]

P.S.S.: Это то же самое, что продавец в магазине продаёт нож и пытается гарантировать, что этим ножом никого не "пырнут"...
Вы это можете гарантировать будучи продавцом ножа???
Ваша задача передать его безопасно покупателю...дальше...философия...

[xmoonlight]

N, Я могу гарантировать, что на ресурсе могут загрузиться только скрипты этого ресурса, а не внедрённые со стороны, благодаря "дырам" в безопасности.

[N]

xmoonlight, Давай. Пиши инструкцию!!! :)
Каким образом? По пунктам!

Если решишь эту проблему - тебя с руками заберут, например, в Касперский...а всех остальных уволят! :)

[xmoonlight]

N, "Сам давай в миску!" :)

[N]

xmoonlight, Вот и договорились))
Я, если что, не "бычу" тут как некоторые...со всех сторон просто пытаюсь объяснять))

Не берите близко к сердцу :)

[xmoonlight]

N, Я вижу, что ты не бычишь. Иначе бы... ну админы знают)
Давай посмотрим, что другие скажут.

Answer 2

[Ranwise]

проверяйте картинки по mime типу, картинка jpg\png, а не mp3 файл с расширением

могут поломать подвесить сервак при ресайзе, если нету проверки на разрешение изображения (разрешение 10 000 на 10 000 и больше) яля zip-bomb может уложить слабый сервак

Answer 3

[xmoonlight]

Вопрос - если в катинку прошит какой-нибудь вредоносный код, может ли пострадать наш сайт и как от этого защититься?

Да. Может пострадать.
Защититься можно только написав фильтр с правилами для контроля "тела" загруженного файла, который будет проверять все файлы сразу же после их загрузки в "отстойник".

Comments

[N]

Относительно самого web-ресурса разве может?
Если только дальше после загрузки и дальнейшем использовании...но тут уж даже любой антивирус на 100% ничего не гарантирует...а Вы - тело проверяйте...На что проверять? Базу антивирусов использовать? Или как? Или где?

[xmoonlight]

N,

На что проверять?

на соответствие ожидаемому формату данных внутри файла.

[N]

xmoonlight, Ну передам я тебе mime type картинки...а дальше в теле какое-нибудь фуфло...
А потом ты запустишь его, например, где нибудь уже у себя при каких-либо условиях где это исполнится...
Как я могу повлиять на таких???

Простой пример:
1. Качаешь какой-то типа "gif" файл...
2. Переименовываешь в какой нибудь PHP (для простоты понимания) - или сразу следующий пункт;
3. Запускаешь на каком-нибудь Апаче где в той директории выполняется gif как php...
4. К тебе залетает "шелл" и шлёт мне данные "куда залетел"...
5. Я имею к тебе доступ...

Кто идиот?))

[xmoonlight]

N,

Ну передам я тебе mime type картинки...а дальше в теле какое-нибудь фуфло...

Кто идиот?))

Без понятия. ;)

[N]

xmoonlight, Вот и ответ...ну точно - НЕ Я :)

[xmoonlight]

N, А я - всё ещё не знаю. ;)

[N]

xmoonlight, Ну...если ты не проделаешь те пункты, которые я описал...то тоже не ты... :)